Compartir a través de

Realizar acciones en los resultados de consultas de búsqueda avanzadas

  • Artículo

Se aplica a:

  • Microsoft Defender XDR

Importante

Parte de la información contenida en este artículo se refiere a un producto preliminar que puede sufrir modificaciones sustanciales antes de su lanzamiento comercial. Microsoft no otorga garantías, expresas o implícitas, con respecto a la información que aquí se proporciona.

Puede contener rápidamente amenazas o abordar los recursos en peligro que encuentre en la búsqueda avanzada mediante opciones de acción eficaces y completas. Con estas opciones, puede:

  • Realizar varias acciones en los dispositivos
  • Archivos de cuarentena

Permisos necesarios

Para realizar acciones en los dispositivos mediante la búsqueda avanzada, necesita un rol en Microsoft Defender para punto de conexión con permisos para enviar acciones de corrección en los dispositivos.

Importante

Microsoft recomienda utilizar roles con la menor cantidad de permisos. Esto ayuda a mejorar la seguridad de la organización. Administrador global es un rol con muchos privilegios que debe limitarse a escenarios de emergencia cuando no se puede usar un rol existente.

Si no puede realizar ninguna acción, póngase en contacto con un administrador global para obtener el permiso siguiente:

Acciones de corrección > activas Administración de amenazas y vulnerabilidades: control de correcciones

Para tomar medidas en los correos electrónicos a través de la búsqueda avanzada, necesita un rol en Microsoft Defender para Office 365 para buscar y purgar correos electrónicos.

Realizar varias acciones en los dispositivos

Puede realizar las siguientes acciones en los dispositivos identificados por la columna en los DeviceId resultados de la consulta:

  • Aislar los dispositivos afectados para contener una infección o evitar que los ataques se muevan lateralmente
  • Recopilación del paquete de investigación para obtener más información forense
  • Ejecución de un examen antivirus para buscar y quitar amenazas mediante las últimas actualizaciones de inteligencia de seguridad
  • Iniciar una investigación automatizada para comprobar y corregir amenazas en el dispositivo y posiblemente en otros dispositivos afectados
  • Restringir la ejecución de aplicaciones solo a archivos ejecutables firmados por Microsoft, lo que impide la actividad de amenazas posterior a través de malware u otros ejecutables que no son de confianza

Para obtener más información sobre cómo se realizan estas acciones de respuesta a través de Microsoft Defender para punto de conexión, lea sobre las acciones de respuesta en los dispositivos.

Archivos de cuarentena

Puede implementar la acción de cuarentena en los archivos para que se pongan en cuarentena automáticamente cuando se encuentren. Al seleccionar esta acción, puede elegir entre las siguientes columnas para identificar qué archivos de los resultados de la consulta se ponen en cuarentena:

  • SHA1: en las tablas de búsqueda más avanzadas, esta columna hace referencia al SHA-1 del archivo que se ve afectado por la acción registrada. Por ejemplo, si se copió un archivo, este archivo afectado sería el archivo copiado.
  • InitiatingProcessSHA1: en las tablas de búsqueda más avanzadas, esta columna hace referencia al archivo responsable de iniciar la acción registrada. Por ejemplo, si se inicia un proceso secundario, este archivo de iniciador formaría parte del proceso primario.
  • SHA256: esta columna es el equivalente SHA-256 del archivo identificado por la SHA1 columna.
  • InitiatingProcessSHA256: esta columna es el equivalente SHA-256 del archivo identificado por la InitiatingProcessSHA1 columna.

Para obtener más información sobre cómo se realizan las acciones de cuarentena y cómo se pueden restaurar los archivos, lea sobre las acciones de respuesta en los archivos.

Nota:

Para buscar archivos y ponerlos en cuarentena, los resultados de la consulta también deben incluir DeviceId valores como identificadores de dispositivo.

Para realizar cualquiera de las acciones descritas, seleccione uno o varios registros en los resultados de la consulta y, a continuación, seleccione Realizar acciones. Un asistente le guía por el proceso de selección y envío de las acciones que prefiera.

Captura de pantalla de la opción realizar acciones en el portal de Microsoft Defender.

Realizar varias acciones en los correos electrónicos

Además de los pasos de corrección centrados en el dispositivo, también puede realizar algunas acciones en los correos electrónicos de los resultados de la consulta. Seleccione los registros en los que desea realizar una acción, seleccione Realizar acciones y, a continuación, en Elegir acciones, seleccione la opción que elija de las siguientes opciones:

  • Move to mailbox folder : seleccione esta acción para mover los mensajes de correo electrónico a la carpeta Elementos no deseados, Bandeja de entrada o Elementos eliminados.

    Tenga en cuenta que puede mover los resultados de correo electrónico que constan de elementos en cuarentena (por ejemplo, en el caso de falsos positivos) seleccionando la opción Bandeja de entrada .

    Captura de pantalla de la opción Bandeja de entrada en el panel Realizar acciones en el portal de Microsoft Defender.

  • Delete email : seleccione esta acción para mover mensajes de correo electrónico a la carpeta Elementos eliminados (eliminación temporal) o eliminarlos permanentemente (eliminación rígida)

    Al seleccionar Eliminación temporal también se eliminan automáticamente los mensajes de la carpeta Elementos enviados del remitente si el remitente está en la organización.

    Captura de pantalla de la opción realizar acciones en el portal de Microsoft Defender.

    La eliminación temporal automática de la copia del remitente está disponible para los resultados mediante las EmailEvents tablas y EmailPostDeliveryEvents , pero no la UrlClickEvents tabla. Además, el resultado debe contener las columnas y SenderFromAddress columnas EmailDirection de esta opción de acción que se mostrarán en el Asistente para realizar acciones. La limpieza de copia del remitente se aplica a los correos electrónicos dentro de la organización y los correos electrónicos salientes, lo que garantiza que solo se elimine temporalmente la copia del remitente para estos mensajes de correo electrónico. Los mensajes entrantes están fuera del ámbito.

    Consulte la consulta siguiente como referencia:

    EmailEvents
| where ThreatTypes contains "spam"
| project NetworkMessageId,RecipientEmailAddress, EmailDirection, SenderFromAddress, LatestDeliveryAction,LatestDeliveryLocation

También puede proporcionar un nombre de corrección y una breve descripción de la acción realizada para realizar un seguimiento sencillo en el historial del centro de acciones. También puede usar el identificador de aprobación para filtrar estas acciones en el centro de acciones. Este identificador se proporciona al final del asistente:

Asistente para realizar acciones que muestra acciones de selección para entidades

Estas acciones de correo electrónico también se aplican a las detecciones personalizadas .

Revisar las acciones realizadas

Cada acción se registra individualmente en el centro de acciones enHistorial del centro> de acciones (security.microsoft.com/action-center/history). Vaya al centro de acciones para comprobar el estado de cada acción.

Nota:

Es posible que algunas tablas de este artículo no estén disponibles en Microsoft Defender para punto de conexión. Active Microsoft Defender XDR para buscar amenazas mediante más orígenes de datos. Puede mover los flujos de trabajo de búsqueda avanzados de Microsoft Defender para punto de conexión a Microsoft Defender XDR siguiendo los pasos descritos en Migración de consultas de búsqueda avanzadas desde Microsoft Defender para punto de conexión.

Sugerencia

¿Desea obtener más información? Participe con la comunidad de Seguridad de Microsoft en nuestra Tech Community: Tech Community de Microsoft Defender XDR.